lilMIIMl
Direction de la Sécurité Économique en Zone Paris
r
EDITO
PROTECTION
A
Alors que le trimestre semble à peine
avoir débuté, voilà, que se profilent déjà,
les fêtes de NoëL Loin de moi l’idée de
vouloir dresser un bilan de l’année
écoulée mais permettez-moi de partager
avec vous quelques unes des tendances
que nous avons pu discerner jour après
jour. Elles seront développées dans
cette nouvelle lettre d’information.
En tout premier lieu, l’accent est mis
sur le cyberespace, terme polymorphe
qui mérite, à mon sens, un
éclaircissement pour mieux permettre
d’en cerner les enjeux.
Ensuite, le besoin d’une information
pertinente est devenu crucial, tant pour
les entreprises que les institutions. C’est
pourquoi, la DSEZP a mis en place une
journée de formation complémentaire
des OS. Se voulant pragmatique, elle a
permis à 30 d’entre vous d’approfondir
leurs connaissances en matière de
protection, de réglementation, etc. La
première édition a atteint ses objectif
et l’expérience sera donne pérennisée en
2017.
Ces diverses initiatives sont autant de
jalons qui manifestent notre volonté
d’être à vos côtés pour protéger
l’industrie de défense.
Le directeur de la DSEZP
Contrats défense, quelles obligations/contrôles pour les sous-
contractants?
Tout sous-contractant d'un contrat avec détention d'informations
ou de supports classifiés (ISC) ou avec accès à des ISC doit être
habilité. En cas de contrat avec détention d'ISC, le sous-
contractant doit en outre assurer la sécurisation physique de ses
locaux et systèmes d'information. Une annexe de sécurité
spécifique au sous-contrat sera nécessairement établie, distincte
de l'annexe de sécurité du contrat principal. Y seront mentionnées
les missions du sous-contractant, les dates de travaux d'exécution
ainsi que les ISC auxquels il aura accès.
Des visites et inspections de la Direction du Renseignement et de
la Sécurité de la Défense (DRSD) ou de l'autorité contractante
permettent de contrôler le respect et la bonne application de ces
mesures de sécurité. Des actions correctives peuvent être exigées
si nécessaire.
En matière de recours à des sous-contractants étrangers, le
Secrétariat général de la défense et de la sécurité nationale
(SGDSN) est compétent pour vérifier l'équivalence du degré de
protection des ISC entre les parties contractantes. Il peut à cette
fin négocier des accords de sécurité avec l'autorité d'habilitation
nationale afin qu'elle procède à une habilitation appropriée de
l'entreprise étrangère.
Il convient de se rappeler que le sous-contrat entre une
entreprise française et une entreprise étrangère n'est pas
envisageable lorsqu'il prévoit la détention ou l'échange d'ISC
portant la mention « Spécial France ».
Cas pratique: une société de droit français X souhaite sous-traiter
une partie de l'exécution de son programme d'armement à une
société asiatique. Il s'avère que cette entreprise n'a pas les mêmes
standards en matière d'habilitation de son personnel et qu'il y a
absence d'accord de sécurité bilatéral entre la France et l'Etat de
nationalité de l'entreprise. Le SGDSN considère que malgré une
éventuelle habilitation de l'entreprise asiatique par l'autorité
nationale compétente , la sous-traitance présenterait des dangers
pour la protection des ISC français. Des négociations peuvent alors
être mises en place par le SGDSN et l'autorité d'habilitation
étrangère afin d'établir une réglementation propice à une
protection équivalente des ISC.
Instruction Générale Interministérielle n°1300 sur la Protection du secret de la
défense nationale, Article 97 « Cas des entreprises étrangères ».
1/4
direction de la Sécurité Économique en Zone Paris
A
ENTRETIEN
Avec M Zoheir BOUAOUICHE, sous préfet d'Etampes et
chargé de mission IET en Essonne
DSEZP : Monsieur le sous-préfet,
pouvez vous préciser quelles sont
vos attributions dans le cadre de
l'IET ? Et aussi comment le
département est il impliqué, dans
une politique de l'IE qui concerne
de nombreux acteurs ?
M. BOUAOUICHE : l'intelligence
économique territoriale est
l'intelligence économique
adaptée aux particularismes
propres à chaque territoire.
L'organisation actuelle de l'État en
cette matière repose sur un
pilotage de cette politique
publique assuré par le Préfet de
Région, en charge de la rédaction
d'un schéma régional de
l'intelligence économique, de la
réunion d'un comité régional ad
hoc et de la définition des priorités
d'action dans une feuille de route
annuelle déclinée ensuite par les
Préfets de départements.
En tant que référent IE, désigné
par la Préfète de l'Essonne, j'ai
donc en charge l'animation et
l'accompagnement de cette
politique publique dans le
département, c'est-à-dire :
- faciliter le dialogue en la matière
entre services de l'Etat, structures
publiques, académiques,
collectivités territoriales et
organismes privés ;
- faire le lien entre le niveau
national, l'échelon régional et le
local ;
- être l'interlocuteur privilégié des
entreprises et acteurs du territoire
en matière d'IE.
DSEZP : Quelles sont, d'après
votre expérience, les menaces les
plus prégnantes pouvant
concerner les sociétés dans votre
département ?
M. BOUAOUICHE : Souvent,
l'intelligence économique est
associée à la notion de menace et
réduite à son volet
« sécurisation ». Il faut rappeler
qu'il s'agit avant tout d'une
démarche qui contribue à
identifier des opportunités
économiques. L'intelligence
économique à travers ses missions
de veille, d'influence et de
sécurisation s'inscrit dans la
perspective du renforcement de la
compétitivité et du soutien au
développement économique.
Défis majeurs des pouvoirs
publics.
Néanmoins, pour répondre à votre
question, j'évoquerai les
rançongiciels qui menacent les
données et les finances des
entreprises, les escroqueries
financières, qui exploitent les
failles organisationnelles des
entreprises et toutes les menaces
qui pèsent sur le patrimoine
immatériel des entreprises et plus
particulièrement celui lié à
l'innovation ou la R&D.
DSEZP : Comment pouvez-vous,
concrètement, apporter une aide
aux entreprises ?
M. BOUAOUICHE : Au-delà de la
simple écoute, mon rôle est de
réunir les bons interlocuteurs en
matière d'IE autour des projets
des entreprises ou de leurs
interrogations, qu'il s'agisse de
services de l'État, de partenaires
publics (Collectivités,
Consulaires...), académiques ou
économiques. Cet
accompagnement concerne
toutes les entreprises et tous les
laboratoires de recherche, quel
qu'en soit leurs statuts ou leurs
tailles. Par ailleurs, mon action
vise également à favoriser la
réalisation de démarches de
sensibilisation ou de formation à
destination de ces mêmes publics,
en association avec tous les
partenaires et experts de la
question.
DSEZP : Merci, Monsieur, pour ces
réponses qui permettent de mieux
cerner les enjeux de l'IET.
Infos utiles:
39 000 entreprises en
Essonne
Filières d’excellence :
> Biotechnologies
> Optique
> Eco-technologies
Contact
Sous-préfecture d’Etampes
01 69 91 91 91
2/4
r
LE WEB
A
Le Web tel que nous le connaissons généralement désigne la partie de la
toile accessible en ligne et indexé par les moteurs de recherche courants :
Google, Yahoo, Yandex (Russie), Baidu (Chine), etc.
Finalement, c'est bien à la structure de sécurité de connaître ce monde et,
en connaissance de cause, mener une politique de sécurité adaptée à cet
espace stratégique.
Les 96% restant communément appelés web profond ou deepweb,
désignent la toile accessible en ligne, mais non-indexée par les moteurs de
recherche classiques.
Il est admis que ce web surfacique représente environ 4% des données.
Les différents niveaux du Web
Niveau 1 : le web commun
Ce niveau est celui sur lequel vous naviguez tous les jours : YouTube, Facebook, Google, Wikipédia
et d'autres sites célèbres ou facilement accessibles donc indexés.
Niveau 2 : le web de surface
Ce niveau est accessible par des explorateurs habituels, mais contient des sites internet
« sombres », tels que Reddit, les services d'adresses e-mail temporaires, les téléchargements
illégaux en direct, les hébergements de web, les bases de données MYSQ.L etc.
Niveau 3 : l e web des téléchargements
Vous pouvez y trouver des sites « underground » mais toujours indexés, comme 4chan, Freehive,
Hell bound, les téléchargements illégaux par Torrent, des résultats de recherche Google bloqués.
À partir du niveau suivant, l'utilisation d'un Virtual Privât Network [VPN} et du réseau TOR est obligatoire et de
solides connaissances en informatique sont requises.
Ce qu'il faut retenir :
Dès le niveau 2 vous pouvez être dans l'illégalité.
Un simple accès au niveau 5 vous expose à des poursuites judiciaires car le Web
profond est devenu l'une des priorités des gouvernements.
Dans le cadre de votre entreprise :
- Surveillez vos passerelles vers Internet par la mise en place d'outils de journalisation
des activités sur le Web.
- Si possible, mettez en place des listes de sites interdits ou forcez les navigations sur
une liste des sites autorisés.
- Privilégiez la saisie manuelle des sites que vous souhaitez visiter ; ne cliquez pas sur
des liens proposés par d'autres sites Web.
Pour toute question supplémentaire veuillez contacter :
dpsd-dsezp-ssi.cds.fct@intradef.gouv.fr
3/4
INTELLIGENCE ECONOMIQUE
A
Le fait religieux dans l'entreprise
r
Le fait religieux dans l'entreprise mobilise actuellement l'ensemble des acteurs du monde économique. Souvent
source d'inquiétudes mais aussi de questionnement, le sujet doit être maîtrisé à la fois par la chaîne sûreté et par le
management, qui, en symbiose, auront à fixer les règles et à y faire adhérer les collaborateurs. Lesquelles règles
auront à être respectueuses de la liberté individuelle et soucieuses de la mission de l'entreprise.
Ainsi, le 28 novembre le colloque du MEDEF IDF a-t-il traité ce thème sous la forme de trois tables rondes où se
sont exprimés : des entrepreneurs, des responsables sûreté, des institutionnels et un avocat. Après une
introduction faite par le SCRT sur le phénomène de radicalisation, Me Thibault du Manoir de Juaye a donné un
aperçu des derniers cas traités par la justice et de l'état de la jurisprudence.
Soulignons que, l'entreprise a deux leviers principaux pour agir sur la question :
- Un règlement intérieur (jurisprudence PAPREC).
- Le contrat de travail.
Annoncé par Mme EL KHOMRI le 07 novembre, un « guide du fait religieux dans l'entreprise » doit être publié sous
peu. Déjà disponible sous forme de document de travail, ce questionnaire traite, à travers 39 questions/réponses
appuyées par une jurisprudence, les thèmes les plus souvent évoqués dans ce domaine.
Pour aller plus loin:
Publication très prochainement du guide « fait religieux dans l'entreprise » sur le site : travail-emploi.gouv.fr
r Après la DPSD, pourquoi la DRSD ?
Le nouveau nom de la DRSD est effectif depuis le
07/10. Ses missions historiques perdurent : la
sécurité du personnel, des installations et des
systèmes d'informations du ministère reste au cœur
des préoccupations du Service. Mais, le volet
« renseignement » prend une nouvelle dimension et
devient prépondérant.
Par ailleurs, l'essor du « cyber » constitue l'un des
éléments de cette transformation.
Principaux objectifs :
La lutte antiterroriste et la protection du potentiel
scientifique et technique de la nation (PSTN) sont
les 2 principaux objectifs opérationnels qui
mobilisent aujourd'hui le Service.
SOPHIA : le contrôle qualité de l'OS
Si le renseignement de la fiche 94A est bien du
ressort de l'intéressé, c'est à l'OS qu'il revient de
contrôler les informations saisies. Cette
vérification est en quelque sorte le « contrôle
qualité » qui permettra d'éviter qu'une
procédure soit rejetée. Le système SOPHIA refuse
en effet toute fiche incomplète ou incorrectement
renseignée.
en ei
rens<
Externaliser ses données ?
Suite à une proposition commerciale faite à un
client, une société se voit ravir le marché par un
concurrent. L'incident se reproduit à plusieurs
reprises. Après enquête de l'équipe cyber de la
DSEZP, il s'avère que le système informatique et
notamment les prospects commerciaux étaient
externalisés chez un hébergeur privé et de plus
piraté.
En conclusion, il est impératif pour l'entreprise
de se poser les questions :
> comment gérer mes données ?
> qui doit y avoir accès ?
> les données constituant mon patrimoine
immatériel peuvent-elles être externalisées ?
Ainsi, et à l'instar d'autres risques, c'est en toute
connaissance de cause que vous assurerez la
protection de votre patrimoine.
Pour toute question complémentaire veuillez
contacter :
dpsd-dsezp-ssi.cds.fct(5)intradef.gouv.fr
4/4